<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; I&#8217;ve been pulling my hair out over this one. Here&#8217;s the output of ovirt-engine-extension-aaa-ldap-setup. Everything works fine if I use &#8220;plain&#8221; but I don&#8217;t really want to do that. I searched the error that&#8217;s shown below and
 tried several different &#8220;fixes&#8221; but none of them helped. These are Server 2016 DCs. Not too sure where to go next.<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Stage: Initializing<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Stage: Environment setup<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Configuration files: ['/etc/ovirt-engine-extension-aaa-ldap-setup.conf.d/10-packaging.conf']<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Log file: /tmp/ovirt-engine-extension-aaa-ldap-setup-20170715170953-wfo1pk.log<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Version: otopi-1.6.2 (otopi-1.6.2-1.el7.centos)<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Stage: Environment packages setup<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Stage: Programs detection<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Stage: Environment customization<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Welcome to LDAP extension configuration program<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Available LDAP implementations:<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 1 - 389ds<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2 - 389ds RFC-2307 Schema<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 3 - Active Directory<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 4 - IBM Security Directory Server<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 5 - IBM Security Directory Server RFC-2307 Schema<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 6 - IPA<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 7 - Novell eDirectory RFC-2307 Schema<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 8 - OpenLDAP RFC-2307 Schema<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;9 - OpenLDAP Standard Schema<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 10 - Oracle Unified Directory RFC-2307 Schema<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 11 - RFC-2307 Schema (Generic)<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 12 - RHDS<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 13 - RHDS RFC-2307 Schema<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 14 - iPlanet<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Please select: 3<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Please enter Active Directory Forest name: home.doonga.org<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Resolving Global Catalog SRV record for home.doonga.org<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Resolving LDAP SRV record for home.doonga.org<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; NOTE:<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; It is highly recommended to use secure protocol to access the LDAP server.<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Protocol startTLS is the standard recommended method to do so.<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Only in cases in which the startTLS is not supported, fallback to non standard ldaps protocol.<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Use plain for test environments only.<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Please select protocol to use (startTLS, ldaps, plain) [startTLS]: ldaps<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Please select method to obtain PEM encoded CA certificate (File, URL, Inline, System, Insecure): System<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Resolving SRV record 'home.doonga.org'<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Connecting to LDAP using 'ldaps://DC1.home.doonga.org:636'<o:p></o:p></p>
<p class="MsoNormal">[WARNING] Cannot connect using 'ldaps://DC1.home.doonga.org:636': {'info': 'TLS error -8157:Certificate extension not found.', 'desc': &quot;Can't contact LDAP server&quot;}<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Connecting to LDAP using 'ldaps://DC2.home.doonga.org:636'<o:p></o:p></p>
<p class="MsoNormal">[WARNING] Cannot connect using 'ldaps://DC2.home.doonga.org:636': {'info': 'TLS error -8157:Certificate extension not found.', 'desc': &quot;Can't contact LDAP server&quot;}<o:p></o:p></p>
<p class="MsoNormal">[ INFO&nbsp; ] Connecting to LDAP using 'ldaps://DC3.home.doonga.org:636'<o:p></o:p></p>
<p class="MsoNormal">[WARNING] Cannot connect using 'ldaps://DC3.home.doonga.org:636': {'info': 'TLS error -8157:Certificate extension not found.', 'desc': &quot;Can't contact LDAP server&quot;}<o:p></o:p></p>
<p class="MsoNormal">[ ERROR ] Cannot connect using any of available options<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">Also:<o:p></o:p></p>
<p class="MsoNormal">2017-07-15 18:18:06 INFO otopi.plugins.ovirt_engine_extension_aaa_ldap.ldap.common common._connectLDAP:391 Connecting to LDAP using 'ldap://DC2.home.doonga.org:389'<o:p></o:p></p>
<p class="MsoNormal">2017-07-15 18:18:06 INFO otopi.plugins.ovirt_engine_extension_aaa_ldap.ldap.common common._connectLDAP:442 Executing startTLS<o:p></o:p></p>
<p class="MsoNormal">2017-07-15 18:18:06 DEBUG otopi.plugins.ovirt_engine_extension_aaa_ldap.ldap.common common._connectLDAP:459 Exception<o:p></o:p></p>
<p class="MsoNormal">Traceback (most recent call last):<o:p></o:p></p>
<p class="MsoNormal">&nbsp; File &quot;/usr/share/ovirt-engine-extension-aaa-ldap/setup/bin/../plugins/ovirt-engine-extension-aaa-ldap/ldap/common.py&quot;, line 443, in _connectLDAP<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; c.start_tls_s()<o:p></o:p></p>
<p class="MsoNormal">&nbsp; File &quot;/usr/lib64/python2.7/site-packages/ldap/ldapobject.py&quot;, line 564, in start_tls_s<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; return self._ldap_call(self._l.start_tls_s)<o:p></o:p></p>
<p class="MsoNormal">&nbsp; File &quot;/usr/lib64/python2.7/site-packages/ldap/ldapobject.py&quot;, line 99, in _ldap_call<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; result = func(*args,**kwargs)<o:p></o:p></p>
<p class="MsoNormal">CONNECT_ERROR: {'info': 'TLS error -8157:Certificate extension not found.', 'desc': 'Connect error'}<o:p></o:p></p>
<p class="MsoNormal">2017-07-15 18:18:06 WARNING otopi.plugins.ovirt_engine_extension_aaa_ldap.ldap.common common._connectLDAP:463 Cannot connect using 'ldap://DC2.home.doonga.org:389': {'info': 'TLS error -8157:Certificate extension not found.', 'desc': 'Connect
 error'}<o:p></o:p></p>
<p class="MsoNormal">2017-07-15 18:18:06 INFO otopi.plugins.ovirt_engine_extension_aaa_ldap.ldap.common common._connectLDAP:391 Connecting to LDAP using 'ldap://DC3.home.doonga.org:389'<o:p></o:p></p>
<p class="MsoNormal">2017-07-15 18:18:06 INFO otopi.plugins.ovirt_engine_extension_aaa_ldap.ldap.common common._connectLDAP:442 Executing startTLS<o:p></o:p></p>
<p class="MsoNormal">2017-07-15 18:18:06 DEBUG otopi.plugins.ovirt_engine_extension_aaa_ldap.ldap.common common._connectLDAP:459 Exception<o:p></o:p></p>
<p class="MsoNormal">Traceback (most recent call last):<o:p></o:p></p>
<p class="MsoNormal">&nbsp; File &quot;/usr/share/ovirt-engine-extension-aaa-ldap/setup/bin/../plugins/ovirt-engine-extension-aaa-ldap/ldap/common.py&quot;, line 443, in _connectLDAP<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; c.start_tls_s()<o:p></o:p></p>
<p class="MsoNormal">&nbsp; File &quot;/usr/lib64/python2.7/site-packages/ldap/ldapobject.py&quot;, line 564, in start_tls_s<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; return self._ldap_call(self._l.start_tls_s)<o:p></o:p></p>
<p class="MsoNormal">&nbsp; File &quot;/usr/lib64/python2.7/site-packages/ldap/ldapobject.py&quot;, line 99, in _ldap_call<o:p></o:p></p>
<p class="MsoNormal">&nbsp;&nbsp;&nbsp; result = func(*args,**kwargs)<o:p></o:p></p>
<p class="MsoNormal">CONNECT_ERROR: {'info': 'TLS error -8157:Certificate extension not found.', 'desc': 'Connect error'}<o:p></o:p></p>
<p class="MsoNormal"><o:p>&nbsp;</o:p></p>
<p class="MsoNormal">Any help would be appreciated!<o:p></o:p></p>
<p class="MsoNormal">Thanks<o:p></o:p></p>
</div>
</body>
</html>